2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權歸原作者所有。
一組研究人員在Thunderbolt數(shù)據(jù)傳輸規(guī)范中發(fā)現(xiàn)了一個名為“ Thunderclap ” 的新安全漏洞,該漏洞可能使計算機受到其他無害的USB-C或DisplayPort硬件的嚴重攻擊。
正如研究人員Theo Markettos所解釋的那樣,Thunderclap利用Thunderbolt附件授予的特權直接內(nèi)存訪問(DMA)來訪問目標設備。除非采取適當?shù)谋Wo措施,否則黑客可以使用該訪問權來竊取數(shù)據(jù),跟蹤文件和運行惡意代碼。
這是一種操作系統(tǒng)級別的訪問,通常授予GPU或網(wǎng)卡等附件。由于Thunderbolt旨在從外部復制這些功能,因此需要相同級別的訪問權限,但設置的外部特性使其更容易受到攻擊。從根本上說,將惡意設備插入端口比破解打開某人的計算機并插入被黑客入侵的圖形卡更容易。
Thunderclap漏洞并非Thunderbolt 3獨有; 基于DisplayPort而不是USB-C的舊型Thunderbolt設備在理論上也存在風險。
Markettos和他的團隊在2016年發(fā)現(xiàn)了這個漏洞,并且已經(jīng)將它發(fā)布給那些一直在開發(fā)修復程序的制造商:Apple在同一年的macOS 10.12.4中針對該漏洞的特定部分進行了修復,并且最近更新的Mac應該是保護免受攻擊。Windows 10版本1803還可以針對較新設備的固件級別防范此漏洞。
這不是大多數(shù)用戶通常會遇到的那種攻擊。(黑客使用特別有毒的USB-C設備通過冒充假的GPU來瞄準計算機通常不適合大多數(shù)人。)但這是一個很好的提醒,你應該小心將你的計算機插入配件或充電器不信任。
即使Thunderclap甚至沒有打到你的設備,它也強調(diào)即使我們的最佳標準也不完美,即使對于Thunderbolt所代表的外圍設備行業(yè)的高端方面也是如此。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權歸原作者所有。